Roubo através da plataforma Wormhole

[joker_josue]

Hoje, encontrei uma noticia que dava conta de um roubo de 320 milhões de dólares em Ethereum através da plataforma Wormhole.

Segundo dados recentes, um hacker conseguiu roubar mais de 320 milhões de dólares em Ethereum graças a uma vulnerabilidade na "ponte" Wormhole, um protocolo que permite aos utilizadores alternar entre as criptomoedas Ethereum (ETH) e Solana (SOL). A falha encontrava-se especificamente na ponte desta última moeda digital, o que levou a este roubo massivo.

Fonte: https://pplware.sapo.pt/criptomoeda/hacker-rouba-320-milhoes-de-dolares-em-ethereum-gracas-a-ponte-wormhole/

Ao que parece a falha que permitiu o roubo já esta resolvido, e a plataforma esta a tentar devolver o dinheiro aos lesados.


Alguém por aqui foi afetado?

[TryNinja]

Bom, ninguém foi lesado por que a Jump Crypto repôs os $320 milhões direto do seu bolso. Os caras tem rios e rios de dinheiro, e deixar a Solana colapsar não ia ser nada agradavél para os seus investimentos.

[tg88]

Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

[joker_josue]

Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

[TryNinja]

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Também não é assim... entramos na discussão do "code is law?", mas é bem certeza que na maior parte do mundo, um hack desses seria visto de forma maliciosa.

Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".

[joker_josue]

Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".

Mas ele esta a ser procurado, por não ter obedecido a uma ordem judicial, de comparecer em tribunal. Ninguém pode faltar a um tribunal sem justificação.
Agora, será que ele iria ser condenado pelo tal "roubo", ainda não sabemos. Claro que não aparecer em tribunal não abona a seu favor.

Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.

Qualquer das formas não será fácil, condenar o indevido, por causa do hack.
https://www.coindesk.com/policy/2021/12/22/teenage-suspect-in-16m-defi-hack-wanted-for-arrest-in-canada/

[TryNinja]

Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.

Você acha que alguém consegue $19 milhões de forma claramente ilegal abusando do código e que nada vai acontecer com ele?

Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.

[l3pox]

bom, somando no caso a Rekt fez uma publicação também, deixo aqui o link pois pode interessar:

WORMHOLE - REKT



afinal, vemos que a solana não está imune.
interessante como existem vulnerabilidades nessas pontes cross-blockchain

[joker_josue]

Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.

Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.

Eu não estou a dizer que concordo com isto, mas é o problema que temos enquanto o mercado crypto for desregulado pelos governos. Algum dia será regulado? O Bitcoin e outras, não. Mas tem de surgir instrumentos jurídicos que permitam, proteger o cidadão nestes casos. Hoje isso não existe.

[t91]

Solana anda sofrendo bastante, mas ainda acho todo projeto dela muito bacana, e pelo menos ainda conseguem usar "estamos em beta" como um escudo rsrs.

[TryNinja]

Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.

Mas nesse caso (do jovem) eles obtiveram o endereço ETH dele e o ligaram a um saque da Binance, depois entraram em contato com a exchange e conseguiram o KYC.

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.

Desculpa, mas isso não existe. Então tá ok roubar um quadro? Um colecionavel? Se a acusação mostra que dá pra conseguir X nos tantos milhares de ETH, através de exchanges liquidas, então esse é o valor e pronto. A justiça é meio dura mas não é tão binária assim.

Não é por que não tem uma regulação clara quanto às criptos que qualquer um pode sair roubando o outro. Ou que é impossível ser preso fazendo esse tipo de coisa.

[joker_josue]

@TryNinja tens razão!

Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.

E não é complicado apenas no mundo crypto, é por toda a internet e hacks que existem diariamente. São poucos os que são apanhados e os que são demora as vezes anos, para se conseguir condenar.

Agora, se roubou e foi apanhado, deve ser punido.
Neste caso, tem muitas provas contra ele.

[TryNinja]

Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.

Sim, nesse ponto eu concordo. Com certeza tem MUITO mais jurisprudencia em um roubo comum do que um protocolo descentralizado, mas eu realmente acredito que os pilares do "bom senso" continuam. Tem como alguém olhar para o roubo do Wormhole ou do Indexed e pensar que "o hacker está certo"? Eu acho que não...

Outra coisa é dar sorte em uma moeda qualquer e vender no topo, pegando toda liquidez, etc... por que ai todo mundo tem que entender que é um jogo para ver quem sobrevive.

Quer um exemplo do por que o tribunal é bem mais flexivel do que o "code is law"? Lembre-se que o Craig Wraith foi decidido como satoshi em um de seus casos, e isso sem uma única prova criptografica (!), literalmente a única prova que ele poderia apresentar.

[gagux123]

Bom, eu confesso que estou igual cego em tiroteio com relação a isso hahah

Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?

[TryNinja]

Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?

A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

[joker_josue]

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

Isso fez-me lembrar o maior falsificador da historia portuguesa: Alves dos Reis. Conhecem a historia?

De forma muito resumida, ele conseguiu falsificar um contrato, que permitia obter notas ilegítimas, impressas numa empresa legítima e com a mesma qualidade das notas verdadeiras. Comprando depois com esse dinheiro, ações e fundando empresas e até bancos em Angola. Só foi apanhado, porque realmente começou a ficar muito "rico" e a ter muita influencia.

Podem ler a historia aqui: https://www.natgeo.pt/historia/2020/01/alves-dos-reis-o-maior-falsificador-da-historia-portuguesa

[Disruptivas]

Particularmente, eu nunca tinha visto nenhuma diferença entre ''crimes envolvendo cripto'' e outros tipos de crime, como se fossem considerados menos crimes perante as autoridades. Claro que é um crime que envolve várias complicações, mas não sei nem se são complicações piores do que os crimes envolvendo coisas reais não. Existe da mesma forma, inúmeros casos cabulosos que ficam sem serem resolvidos por muito tempo.

Mas o que realmente me chamou a atenção nesse caso foi a Jump Crypto repor a grana. Eu nunca nem tinha ouvido falar eles na vida 

[gagux123]

A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

Hmmm, entendi...  as vezes eu imagino como uma uma pequena "brecha" pode f*der com tudo
Enfim... @TryNinja, muito obrigado por explicar o ocorrido inclusive na parte técnica também!

[alegotardo]

Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?
Ainda assim, não deixa de ser uma notícia preocupante, por mais que a plataforma consiga cobrir o rombo, sempre fica a desconfiança na plataforma sobre outras vulnerabilidades, cobrir o rombo e ressarcir os lesados é o mínimo que eles podem fazer.

[TryNinja]

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?

Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante.